Defaults.Exposed

Defaults.Exposed › Raporty

Co nagłówki serwera zdradzają atakującym: raport o ujawnianiu stosu (2026)

Opublikowano 2026-06-29

Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe z obserwowanych nagłówków odpowiedzi HTTP (Server, X-Powered-By). Zobacz jak oceniamy.

Większość sieci dobrowolnie ujawnia, na czym działa: 71,4% witryn podaje swój serwer WWW w nagłówkach odpowiedzi, a 8,1% idzie dalej i ujawnia swój stos aplikacji — często z dokładną wersją. Nic z tego nie jest wymagane, a każdy taki szczegół to darmowa wskazówka dla atakującego, który decyduje, co zaatakować. Ujawnienie wersji jest najgorsze: nagłówek reklamujący oprogramowanie po zakończeniu wsparcia to zaproszenie.

Co ogłasza sieć

Nagłówek Server podaje oprogramowanie serwera WWW. Na dzień 2026-06-29 najczęstsze wartości wśród 71,4% witryn, które go wysyłają:

Nagłówek ServerUdział witryn, które go wysyłają
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

Sama nazwa serwera jest niskiego ryzyka. Prawdziwym zagrożeniem jest X-Powered-By, który wysyła 8,1% witryn — i który często zawiera dokładną wersję. Najczęstsze wartości obejmują asp.net oraz konkretne kompilacje PHP, takie jak php/7.4.33.

Dlaczego ujawnianie wersji ma znaczenie

Atakujący skanujący internet w poszukiwaniu znanej luki filtruje dokładnie według tych nagłówków. Witryna reklamująca php/7.4.33wersję PHP po zakończeniu wsparcia, która nie otrzymuje już poprawek bezpieczeństwa — mówi każdemu skanerowi, że może być podatna na atak, jeszcze przed pojedynczą próbą sondowania. Ujawnienie nie tworzy luki, ale eliminuje koszt rozpoznania po stronie atakującego i przesuwa niezałataną witrynę na szczyt listy.

Naprawa jest darmowa i nie ma żadnych wad dla odwiedzających: wytłum te nagłówki lub uogólnij je. Nie ma żadnego funkcjonalnego powodu, by publicznie rozgłaszać wersję swojego stosu.

Jak przestać ujawniać swój stos

  1. Usuń X-Powered-By całkowicie — nie służy do niczego odwiedzającym. (Jedna dyrektywa w PHP/Twoim frameworku lub usunięcie nagłówka na proxy.)
  2. Uogólnij Server — usuń wersję lub cały nagłówek na serwerze WWW lub w CDN.
  3. Mimo to utrzymuj stos załatany — ukrycie wersji kupuje czas, nie zastępuje aktualizacji.
  4. Sprawdź ponownie, aby potwierdzić, że nagłówki zniknęły.

Najczęściej zadawane pytania

Czym jest nagłówek X-Powered-By? Nagłówek odpowiedzi reklamujący framework aplikacji, a często jego dokładną wersję (np. konkretną kompilację PHP). Jest opcjonalny i nie przynosi żadnej korzyści odwiedzającym — tylko atakującym. 8,1% witryn go wysyła.

Czy ujawnienie oprogramowania mojego serwera to luka? Samo w sobie nie, ale to ujawnienie informacji: pozwala atakującym filtrować znane luki w Twoim konkretnym stosie i wersji, redukując ich rozpoznanie do zera. Najlepszą praktyką jest jego wytłumienie.

Czy powinienem ukryć nagłówek Server? Uogólnienie go (usunięcie wersji) to dobra praktyka. Większą korzyścią jest usunięcie X-Powered-By i utrzymywanie oprogramowania załatanego.

Czy to szkodzi SEO lub odwiedzającym? Nie. Te nagłówki są niewidoczne dla użytkowników i nieistotne dla wyszukiwarek. Ich usunięcie to same korzyści.

Sprawdź, co ujawniają Twoje nagłówki

Zobacz dokładnie, co ogłasza Twoja witryna — i co usunąć — za darmo i prywatnie.

Sprawdź swoją domenę → · Świadectwo nagłówków bezpieczeństwa HTTP → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.